第3章--域控制器管理PPT優(yōu)秀課件

1、1,Windows Server 2008系統(tǒng)與資源管理,主講人 劉曉輝,2,關(guān)于我,豐富實戰(zhàn)經(jīng)驗的優(yōu)秀網(wǎng)絡(luò)工程師,潛心多年筆耕不輟的資深作者,先后規(guī)劃和籌建多個校園網(wǎng)絡(luò)，主持實施多個系統(tǒng)集成工程和綜合布線工程，始終工作在網(wǎng)絡(luò)教學(xué)和網(wǎng)絡(luò)管理第一線。經(jīng)過多年的摸爬滾打，積累了大量的網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)管理工作經(jīng)驗。作為網(wǎng)管，既掌握網(wǎng)絡(luò)設(shè)備與服務(wù)器的安裝、配置和故障排除技巧，又了解新技術(shù)的發(fā)展和新設(shè)備的性能；作為教師，既深深懂得教育和教學(xué)規(guī)律，又非常熟知學(xué)生和學(xué)習(xí)心理，并具有良好的語言表達能力。,自1997年10月始，陸續(xù)在電腦報、中國電腦教育報、在線技術(shù)、玩電腦、微型計算機等電腦報刊上發(fā)表技術(shù)文章近2

2、00篇，并長期主持電腦報網(wǎng)絡(luò)通信版的專家坐堂。近幾年，先后在清華大學(xué)出版社、人民郵電出版社、 電子工業(yè)出版社 、科學(xué)出版社、重慶大學(xué)出版社等社，出版網(wǎng)絡(luò)硬件安裝與管理、網(wǎng)絡(luò)服務(wù)器搭建與管理、網(wǎng)絡(luò)綜合布線標準教程等30余冊圖書。,網(wǎng)站：,團隊合作的又一嘔心瀝血之作,本書既包含了作者在網(wǎng)絡(luò)規(guī)劃、建設(shè)、實施、驗收和測試方面的多年心血，又得到了多位網(wǎng)絡(luò)工程師的指導(dǎo)和幫助。本書對當前最新標準、最新技術(shù)做了總結(jié)和歸納，可以說本書包含了當前最新、最主流、最先進和最實用的設(shè)計思想、施工技術(shù)和驗收經(jīng)驗等，是一本不可多得的好書。,3,第3章 域控制器管理,域控制器管理規(guī)劃,活動目錄的備份與恢復(fù),安裝額外的域控制器

3、,提升域控制器級別和提升林功能級別,目錄權(quán)限的委派,拯救域控制器,4,3.1 域控制器管理規(guī)劃,3.1.1 案例情景 企業(yè)網(wǎng)絡(luò)中采用了“域”管理模式 ，并且設(shè)有額外域控制器和子域控制器。 域控制器操作系統(tǒng)為Windows Server 2008。 3.1.2 項目需求 確?；顒幽夸洈?shù)據(jù)庫的安全 域功能級別的調(diào)整 分擔管理權(quán)限 3.1.3 解決方案 使用Windows Server Backup備份活動目錄數(shù)據(jù)庫 部署額外域控制器 委派控制權(quán)限,5,3.2 活動目錄的備份與恢復(fù),3.2.1 安裝Windows Server Backup 3.2.2 完整備份 3.2.2 自定義備份 3.2.3

4、使用命令行備份 3.2.4 定制備份計劃 3.2.3 恢復(fù)目錄數(shù)據(jù)庫,6,3.2.1 安裝Windows Server Backup,7,3.2.2 完整備份,8,完整備份,9,完整備份,10,3.2.2 自定義備份,11,3.2.3 使用命令行備份,顯示服務(wù)器已經(jīng)連接的磁盤,圖3-11 運行備份命令,12,使用命令行備份,圖3-12 查看備份信息,13,3.2.4 定制備份計劃,1. 使用向?qū)Фㄖ苽浞萦媱?Windows Server 2008操作系統(tǒng)提供計劃備份向?qū)?，幫助管理員自動完成某些備份任務(wù)，實現(xiàn)備份自動化。 2. 命令行計劃備份 Wbadmin命令行同樣可以完成計劃備份任務(wù) 。,1

5、4,1. 使用向?qū)Фㄖ苽浞萦媱?15,使用向?qū)Фㄖ苽浞萦媱?16,使用向?qū)Фㄖ苽浞萦媱?17,2. 命令行計劃備份,圖3-22 查看磁盤,圖3-23 創(chuàng)建備份計劃,18,命令行計劃備份,圖3-24 啟用備份,圖3-25 啟用備份計劃,19,3.2.3 恢復(fù)目錄數(shù)據(jù)庫,1. 向?qū)Х绞?2. 命令行方式,20,1. 向?qū)Х绞?21,向?qū)Х绞?22,向?qū)Х绞?23,2. 命令行方式,圖3-33 查看備份版本標識,圖3-34 是否執(zhí)行系統(tǒng)狀態(tài)恢復(fù),24,命令行方式,圖3-35 恢復(fù)完畢,圖3-36 系統(tǒng)狀態(tài)恢復(fù)成功,25,3.3 安裝額外的域控制器,3.3.1 將成員服務(wù)器升級到域控制器 3.3.2

6、網(wǎng)絡(luò)中工作站的配置,26,3.3.1 將成員服務(wù)器升級到域控制器,27,將成員服務(wù)器升級到域控制器,28,3.3.2 網(wǎng)絡(luò)中工作站的配置,圖3-43 設(shè)置備份DNS服務(wù)器IP地址,29,3.4 提升域控制器級別和提升林功能級別,3.4.1 提升域功能級別 默認狀態(tài)下，無論是Windows Server 2003還是Windows Server 2008域的功能級別都是Windows 2000純模式，這主要是為了兼容網(wǎng)絡(luò)中早期版本的Windows用戶。隨著網(wǎng)絡(luò)中計算機系統(tǒng)的不斷升級，可以根據(jù)需要提升域控制器的功能級別，以獲得更多的功能支持。 3.4.2 提升林功能級別 默認狀態(tài)下，Windows

7、目錄林功能級別使用的是Windows 2000模式，如果要提升到Windows Server 2003或Windows Server 2008林功能級別模式，必須先將網(wǎng)絡(luò)的所有域控制器功能級別提升到Windows Server 2003或Windows Server 2008。,30,3.4.1 提升域功能級別,注意 域功能級別提升是不可逆的，一旦提升到“Windows Server 2003”功能級別，將不能回退到“Windows 2000模式”功能級別。,31,3.4.2 提升林功能級別,32,知識鏈接,1. 域功能級別 Windows 2000模式 Windows Server 2003

8、 Windows Server 2008 2. 林功能級別 Windows 2000 Windows Server 2003 Windows Server 2008,33,3.5 目錄權(quán)限的委派,3.5.1 安全組權(quán)限委派 3.5.2 用戶權(quán)限委派向?qū)?3.5.3 管理服務(wù)器測試,34,3.5.1 安全組權(quán)限委派,提示 如果打開的組屬性對話框中，沒有“安全”選項卡，可以在“Active Directory用戶和計算機”窗口中，依次選擇“查看”“高級功能”選項使其顯示,35,安全組權(quán)限委派,36,3.5.2 用戶權(quán)限委派向?qū)?37,用戶權(quán)限委派向?qū)?38,3.5.3 管理服務(wù)器測試,39,知識鏈

9、接,1. 權(quán)限委派 委派是Active Directory最重要的安全功能之一，通過委派管理，可以為適當?shù)挠脩艉徒M指派一定范圍的管理任務(wù)， 既可以分擔管理員工作負擔，又可以增強網(wǎng)絡(luò)安全性。通常可以將權(quán)限委派到以下對象： 組織單位 域 站點,40,3.6 拯救域控制器,3.6.1 服務(wù)器故障但仍然可用 當主域控制器上的域無法正常工作，但系統(tǒng)運行正常，并且仍可以連接網(wǎng)絡(luò)，此時可以將網(wǎng)絡(luò)中的額外域控制器提升為新的主域控制器（此時原主域控制器將自動降級成額外的域控制器），最后在故障服務(wù)器上運行dcpromo命令將其本身從Active Directory中刪除即可。 3.6.2 服務(wù)器徹底崩潰 如果主域

10、控制器發(fā)生嚴重故障，無法正常使用，則上述方法也就不能解決問題。狀態(tài)正常的額外域控制器，除無法提供創(chuàng)建對象服務(wù)外，其他功能基本正常。此時，只能強行將額外域控制器提升為新的主域控制器，重新安裝故障主域控制器，并升級為新主域控制器的額外域控制器即可。,41,3.6.1 服務(wù)器故障但仍然可用,1. 轉(zhuǎn)移操作主機角色 轉(zhuǎn)移“Active Directory用戶和計算機”中的操作主機角色 轉(zhuǎn)移“Active Directory域和信任關(guān)系”中的操作主機角色 轉(zhuǎn)移“Active Directory架構(gòu)”中的操作主機角色 2. 提升額外域控制器為全局編錄服務(wù)器 3. 安裝DNS集成區(qū)域 4. 原主域控制器的恢

11、復(fù),42,1. 轉(zhuǎn)移操作主機角色,轉(zhuǎn)移“Active Directory用戶和計算機”中的操作主機角色,43,轉(zhuǎn)移操作主機角色,44,轉(zhuǎn)移操作主機角色,注意 “基礎(chǔ)結(jié)構(gòu)”角色的轉(zhuǎn)移與當前額外域控制器是否同時擔當“全局編錄”角色有關(guān)，如果是則將提示“Active Directory域服務(wù)”對話框。但此時如果可以確保額外域控制器上“全局編錄”服務(wù)的可用性，也可以單擊“是”按鈕強行轉(zhuǎn)移。強行轉(zhuǎn)移此角色并不會對其他角色功能產(chǎn)生影響。,45,（2）轉(zhuǎn)移“Active Directory域和信任關(guān)系”中的操作主機角色,46,（3）轉(zhuǎn)移“Active Directory架構(gòu)”中的操作主機角色,47,轉(zhuǎn)移“A

12、ctive Directory架構(gòu)”中的操作主機角色,48,2. 提升額外域控制器為全局編錄服務(wù)器,注意 在Windows Server 2003域控制器上默認沒有安裝該組件，管理員可以從Windows Server 2003安裝光盤的Windows Support tools工具包中獲得NTDS安裝程序。,49,3. 安裝DNS集成區(qū)域,50,安裝DNS集成區(qū)域,51,安裝DNS集成區(qū)域,52,4. 原主域控制器的恢復(fù),原主域控制器的系統(tǒng)故障排除后，重新安裝Active Directory服務(wù)，并作為新主域控制器（主機名為：AD）的額外域控制器，主機名稱仍為AD。為了不至于影響到原有網(wǎng)絡(luò)客戶

13、端的應(yīng)用，應(yīng)將其重新升級為主域控制器。,53,3.6.2 服務(wù)器徹底崩潰,1. 占用操作主機角色 2. 提升額外域控制器為全局編錄服務(wù)器 3. 安裝DNS集成區(qū)域,注意 使用此方法重新安裝域控制器后，建議不要使用“占用”的方式再次搶奪操作主機角色，這種操作非常危險，建議普通用戶不要隨便使用。,54,1. 占用操作主機角色,roles,圖3-88 轉(zhuǎn)入fsmo maintenance提示符,55,占用操作主機角色,connect to server AD,圖3-89 命令行執(zhí)行結(jié)果,56,占用操作主機角色,connect to domain ,圖3-90 綁定主域控制器,57,占用操作主機角色,

14、seize RID master,圖3-91“角色占用確認對話”對話框,58,占用操作主機角色,單擊“是”按鈕,圖3-92強行占用RID主機角色,59,占用操作主機角色,seize PDC,圖3-93“角色占用確認對話”對話框,60,占用操作主機角色,單擊“是”按鈕,圖3-94 強行占用PDC角色,61,占用操作主機角色,eize infrastructure master,圖3-95“角色占用確認對話”對話框,62,占用操作主機角色,單擊“是”按鈕,圖3-96 強行占用結(jié)構(gòu)主機角色,63,占用操作主機角色,seize naming master,圖3-97“角色占用確認對話”對話框,64,占

15、用操作主機角色,單擊“是”按鈕,圖3-98 強行占用域命名主機腳色,65,占用操作主機角色,seize schema master,圖3-99“角色占用確認對話”對話框,66,占用操作主機角色,單擊“是”按鈕,圖3-100 強行占用結(jié)構(gòu)主機角色,67,其他操作,2. 提升額外域控制器為全局編錄服務(wù)器 與“服務(wù)器故障但仍然可用”中的操作步驟完全相同。 3. 安裝DNS集成區(qū)域 與“服務(wù)器故障但仍然可用”中的操作步驟完全相同。,68,知識鏈接,1. 操作主機角色 域控制器的主機操作角色包括5種：架構(gòu)主機、域命名主機、PDC仿真器、RID主機和基礎(chǔ)架構(gòu)主機。默認情況下，這些角色都是由主域控制器擔任的，因此需要一一從故障主域控制器轉(zhuǎn)移到額外域控制器。,69,習(xí) 題,1. 簡述恢復(fù)活動目錄數(shù)據(jù)庫時的注意事項。 2. 活動目錄權(quán)限的委派哪幾種實現(xiàn)方式。 3. Windows Server 2008域的默認林功能級別是什么，如何提升目錄林的功能級別？ 4. 什么是域控制器的操作主機角色？,70,實驗：安裝和配置額外域控制器,實驗?zāi)康?了解額外域